Run «gpedit. msc». Navigate to Local Computer Policy >> Computer Configuration >> Windows Settings >> Security Settings >> Local Policies >> User Rights Assignment. If any accounts or groups other than the following are granted the «Create global objects» user right, this is a finding.
- What is create global objects?
- What is SeCreateGlobalPrivilege?
- What is increase a process working set?
- What is SeTcbPrivilege?
- What is rotten potato exploit?
- What is SeIncreaseWorkingSetPrivilege?
- What is impersonate a client after authentication?
- How much virtual memory should I set?
- Why is working set important?
- What is LookupPrivilegeValue?
- What is LsaRegisterLogonProcess?
- Does juicy potato work on Windows 10?
- Do rotten potatoes smell?
- Are rotting potatoes poisonous?
- What is an impersonation token?
- What is allow log on locally?
- What is SeDebugPrivilege?
What is create global objects?
This policy setting determines which users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right.
What is SeCreateGlobalPrivilege?
The «Create global objects» user right (SeCreateGlobalPrivilege) is a Windows 2000 security setting that was first introduced in Windows 2000 SP4. The user right is required for a user account to create global objects in a Terminal Services session.
What is increase a process working set?
Description. Inappropriate granting of user rights can provide system, administrative, and other high-level capabilities. Accounts with the «Increase a process working set» user right can change the size of a process’s working set, potentially causing performance issues or a DoS.
What is SeTcbPrivilege?
SeTcbPrivilege: Act as part of the operating system. This privilege identifies its holder as part of the trusted computer base. This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.
What is rotten potato exploit?
Juicy Potato is Rotten Potato on steroids. It allows a more flexible way to exploit the vulnerability. In this case, ohpe & decoder during a Windows build review found a setup where BITS was intentionally disabled and port 6666 was taken, therefore Rotten Potato PoC won’t work.
What is SeIncreaseWorkingSetPrivilege?
SeIncreaseWorkingSetPrivilege. Increase a process working set. Required to call SetProcessWorkingSetSize to increase the minimum working set. This indirectly allows the process to lock up to the minimum working set of memory using VirtualLock. SeLoadDriverPrivilege.
What is impersonate a client after authentication?
The «Impersonate a client after authentication» user right allows a program to impersonate another user or account to run on their behalf. An attacker could potentially use this to elevate privileges.
How much virtual memory should I set?
Note: Microsoft recommends that virtual memory be set at no less than 1.5 times and no more than 3 times the amount of RAM on the computer. For power PC owners (most UE/UC users), there is likely at least 2 GB of RAM, so the virtual memory can be set up to 6,144 MB (6 GB).
Why is working set important?
In other words, the working set strategy prevents thrashing while keeping the degree of multiprogramming as high as possible. Thus it optimizes CPU utilization and throughput.
What is LookupPrivilegeValue?
The LookupPrivilegeValue function retrieves the locally unique identifier (LUID) used on a specified system to locally represent the specified privilege name.
What is LsaRegisterLogonProcess?
The LsaRegisterLogonProcess function verifies that the application making the function call is a logon process by checking that it has the SeTcbPrivilege privilege set. It also opens the application’s process for PROCESS_DUP_HANDLE access in anticipation of future LSA authentication calls.
Does juicy potato work on Windows 10?
📌 Juicy Potato does not work for Windows Server 2019 and Windows 10 versions 1809 and higher.
Do rotten potatoes smell?
Rotten potatoes, for one, emit an especially strong and awful smell, and should be cleaned as soon as possible for a number of reasons. When left to rot, potatoes can become toxic.
Are rotting potatoes poisonous?
Rotting potatoes give off a noxious solanine gas that can make a person unconscious if they’ve inhaled enough. There have even been cases of people dying in their root cellars due to unbeknownst rotting potatoes.
What is an impersonation token?
Impersonation Token is an Access Token (MSFT Access Token) that has been created to capture the security information of a client process, allowing a server to «impersonation» the client process in security operations.
What is allow log on locally?
When you grant an account the Allow logon locally right, you are allowing that account to log on locally to all domain controllers in the domain. If the Users group is listed in the Allow log on locally setting for a GPO, all domain users can log on locally. The Users built-in group contains Domain Users as a member.
What is SeDebugPrivilege?
SeDebugPrivilege allows a process to inspect and adjust the memory of other processes, and has long been a security concern. SeDebugPrivilege allows the token bearer to access any process or thread, regardless of security descriptors.
Create global objects
This security setting determines whether users can create global objects that are available to all sessions. Users can still create objects that are specific to their own session if they do not have this user right. Users who can create global objects could affect processes that run under other users’ sessions, which could lead to application failure or data corruption.
Caution
Assigning this user right can be a security risk. Assign this user right only to trusted users.
Policy path:
Computer Configuration\Windows Settings\Local Policies\User Rights Assignment
Default:
Administrators
Local Service
Network Service
Service
Supported on:
At least Windows XP SP2, Windows Server 2003
Registry settings:
User Rights security settings are not registry keys
Reboot required:
Related content
WinSecWiki > Security Settings > Local Policies > User Rights > User Rights In-Depth > Create global objects
AKA: SeCreateGlobalPrivilege, Create global objects
Default assignment: Administrators, SERVICE
A process requires this right in order to create sections and/or symbolic link objects in the directories of Object Manager. This right is required for users running inside a Terminal Services session in order to create an object in the system global name space. This right was apparently added to prevent poorly written applications from creating objects like semaphores and named pipes that conflict with each other in the global name space for the system.
This right should normally be left at its default settings. If you run into memory or other errors running applications under Terminal Services, this right may be the cause. See http://support.microsoft.com/kb/821546
This right first appeared in Windows 2003 and SP4 for Windows 2000.
Back to top
Рассмотрим такой вопрос как администрирование учетных записей пользователей в Windows.
Содержание:
- Настройка политик учетных записей
- Настройка паролей пользователей
- Настройка параметров блокировки пользователей
- Настройка прав пользователей
- Настройка параметров безопасности операционной системы
Управлять учетными записями локальных пользователей в Windows можно при помощи оснастки «Локальные пользователи и группы».
Что бы открыть оснастку «Локальные пользователи и группы» нужно щелкнуть правой кнопкой мыши по значку «Мой компьютер», выбрать «Управление компьютером», а затем «Локальные пользователи и группы».
Для того, что бы создать новую учетную запись, в правой части окна в контекстном меню пункта «Пользователи» нужно выбрать пункт «Новый пользователь».
В окне «Новый пользователь» необходимо ввести имя учетной записи, пароль и подтвердить пароль.
При установке пароля есть два вариант:
- Администратор не должен знать пароль пользователя, тогда нужно отметить пункт «Потребовать смену пароля при следующем входе в систему». После первого входа в систему она запросит смену пароля, и пароль будет знать только пользователь.
- Если администратор должен знать пароль, не выбираем этот пункт.
Если пользователь забыл свой пароль, администратор может сбросить его, при помощи функции «Задать пароль».
При входе в систему под новой учетной записью будет предложено сменить пароль.
Что бы добавить новому пользователю наборы прав и ограничений нужно войти в систему под учетной записью администратора. Зайти в свойства учетной записи (Компьютер->Управление->Локальные пользователи и группы->Пользователи).
Например, на вкладке «Членство в группах» можно добавить пользователя в группу «опытные пользователи». Имя группы можно задать самостоятельно или выбрать из списка (Дополнительно->Поиск).
Если открыть свойства группы «Опытные пользователи» то можно убедиться, что пользователь добавлен в группу.
Для тренировки можно создать новую группу и добавить туда пользователя.
Настройка политик учетных записей
В политиках учетных записей можно настраивать такие параметры как:
- Пароли.
- Блокировка пользователей.
- Права пользователей.
- Параметры безопасности операционной системы.
Настройка паролей пользователей
Что бы задать параметры, которые будут применяться ко всем локальным пользователям нужно открыть «Локальную политику безопасности» Пуск->Панель управления->Администрирование->Локальная политика безопасности.
Этот раздел содержит настройки, которые применяются к паролям пользователей.
Для настройки паролей нужно выбрать Политики учетных записей->Политика паролей.
Для примера можно задать следующие параметры:
Настройка параметров блокировки пользователей
Для настройки параметров блокировки пользователей нужно перейти в раздел «Политика блокировки учетных записей» Параметры безопасности->Политики учетных записей->Политика блокировки учетной записи.
Пример настройки параметров:
Если пользователь попытается зайти 3 раза под своей учетной записью и неправильно введет пароль, то он получит сообщение о том, что его учетная запись заблокирована.
Для того, что бы разблокировать заблокированную учетную запись, нужно зайти в ее свойства (Управление компьютером->Локальные пользователи и группы ->Пользователи->Свойства) и снять флажок «Заблокировать учетную запись».
Настройка прав пользователей
Настройка прав пользователей производится в разделе «Назначение прав пользователей». Правами можно наделять пользователей или группы пользователей.
Что бы назначить права нужно выбрать раздел «Назначение прав пользователя» (Параметры безопасности->Локальные политики->Назначение прав пользователя).
Для примера присвоим право «Завершение работы системы». Для этого нужно выбрать соответствующий параметр, а затем:
Таким образом, пользователи «Группа самых опытных пользователей» получат право на завершение работы в системе.
В оснастку «Назначение прав пользователя» входят следующие политики:
- Архивирование файлов и каталогов.
- Восстановление файлов и каталогов.
- Вход в качестве пакетного задания.
- Вход в качестве службы.
- Добавление рабочих станций к домену.
- Доступ к компьютеру из сети.
- Завершение работы системы.
- Загрузка и выгрузка драйверов устройств.
- Закрепление страниц в памяти.
- Замена маркера уровня процесса.
- Запретить вход в систему через службу терминалов.
- Запуск операций по обслуживанию тома.
- Извлечение компьютера из стыковочного узла.
- Изменение параметров среды оборудования.
- Изменение системного времени.
- Локальный вход в систему.
- Настройка квот памяти для процессора.
- Обход перекрестной проверки.
- Овладение файлами или иными объектами.
- Олицетворение клиента после проверки подлинности.
- Отказ доступа компьютеру из сети.
- Отказ во входе в качестве пакетного задания.
- Отказать во входе в качестве службы.
- Отклонить локальный вход.
- Отладка программ.
- Принудительное удаленное завершение.
- Профилирование зараженности системы.
- Профилирование одного процесса.
- Работа в режиме операционной системы.
- Разрешать вход в систему через службу терминалов.
- Разрешение доверия к учетным записям при делегировании.
- Синхронизация данных службы каталогов.
- Создание глобальных объектов.
- Создание журналов безопасности.
- Создание маркерного объекта.
- Создание постоянных объектов совместного использования.
- Создание страничного файла.
- Увеличение приоритета диспетчирования.
- Управление аудитом и журналом безопасности.
Настройка параметров безопасности операционной системы
Раздел «Параметры безопасности» управляет параметрами настройки операционной системы.
Для настроек параметров нужно выбрать Параметры безопасности->Локальные политики->Параметры безопасности.
Для примера можно изменить следующие настройки:
В общем, такой вопрос как, администрирование учетных записей пользователей в Windows рассмотрен.
Анатолий Бузов / об авторе
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.